Une vulnérabilité maximale à Dell RecoverPoint pour les machines virtuelles a été exploitée comme une journée zéro par un groupe de cyberespionnage lié à la Chine, identifié par Google Mandiant et Google Threat Intelligence Group comme UNC6201. Selon le rapport public, l'échec - enregistré sous le nom de CVE-2026-22769 - est dû à des identifiants encodés dans des versions antérieures à 6.0.3.1 HF1, et permet à un attaquant non authentifié d'obtenir un accès non autorisé au système sous-jacent et avec des privilèges root s'il connaît ces identifiants.
Le problème n'affecte pas tous les produits RecoverPoint; Dell précise que RecoverPoint Classic n'est pas sur la liste des concernés. Cependant, les éditions RecoverPoint for Virtual Machines dans des versions telles que 5.3 SP4 P1 et plusieurs branches 6.0 nécessitent une migration et / ou une mise à jour urgente pour corriger l'échec. Dell a formulé des recommandations précises sur les versions à mettre à jour et les moyens d'atténuer les risques dans son avis officiel, qui devraient être consultées en priorité: Bulletin de Dell.
Le mécanisme d'exploitation décrit par Mandiant / GTIG est direct et dangereux : le justificatif encodé facilite l'authentification contre le gestionnaire Apache Tomcat inclus dans l'application. Avec elle, l'acteur malveillant peut télécharger un site shell appelé SLAYSTYLE par endpoint "/ manager / text / deploy" et exécuter des commandes comme root. C'était la porte pour déployer une famille de portes arrières appelée BRICKSTORM et une variante plus récente et furtive appelée GRIMBOLT. L'analyse technique de l'équipe de Mandiant se trouve dans le rapport de Google: UNC6201 : exploitation du jour zéro à Dell RecoverPoint.
GRIMBOLT mérite une mention spéciale pour sa conception. Selon les chercheurs, il s'agit d'un backdoor compilé en C # par compilation avancée native (AOT), ce qui rend difficile d'inverser l'ingénierie et la détection. De plus, ses auteurs ont travaillé à mélanger les binaires avec les fichiers natifs du système, réduisant ainsi les pistes judiciaires. La transition de BRICKSTORM à GRIMBOLT dans certains environnements détectés en septembre 2025 suggère une intention délibérée de rester indécouverte plus longtemps.
Le comportement du groupe UNC6201 montre une tactique habile pour cacher le mouvement latéral. L'un d'entre eux est la création d'interfaces réseau virtuelles temporaires - appelées "NIC Ghost" - qui vous permettent de pivoter des machines virtuelles engagées vers des réseaux internes ou des services SaaS puis d'être effacées pour rendre la recherche difficile. En outre, dans les machines VMware vCenter compromises, des règles iptables créées par le shell web ont été trouvées pour surveiller les trafics TLS (port 443) à la recherche d'une chaîne hexadécimal spécifique et, lorsqu'il est détecté, pour ajouter l'origine IP à une liste de trafic approuvé et rediriger vers le port 10443 pour de courtes périodes. Pour ceux qui veulent se familiariser avec le type de règles utilisées, une ressource technique de base sur les iptables est utile: iptable tutoriel.
La campagne UNC6201 ne fonctionne pas dans le vide : elle partage les tactiques et les malwares avec d'autres groupes liés à la Chine, comme UNC5221, et le même outil BRICKSTORM a également été associé à un autre acteur identifié par CrowdStrike comme Warp Panda dans des attaques contre des entités américaines. Malgré ces coïncidences tactiques, les analystes considèrent que les grappes demeurent des menaces différentes, chacune avec ses modes opérationnels et objectifs. Ce chevauchement souligne que les adversaires étatiques et pro-étatiques se spécialisent dans l'attaque des infrastructures de virtualisation et des dispositifs de bord qui manquent souvent de protection traditionnelle.
Ce dernier point est critique : de nombreuses applications et passerelles attaquées ne fonctionnent pas d'agents EDR réguliers, ce qui permet aux intrus de rester sur les réseaux pendant de longues périodes sans être détectés. La conséquence est un plus grand « temps de puits » - le temps que l'attaquant reste dans l'environnement - et plus de possibilités de déplacer des données, d'usiner des portes arrière ou de préparer des actions ultérieures qui peuvent même atteindre les systèmes de contrôle industriel (OT). Dans un contexte connexe, l'entreprise Drago a documenté des campagnes qui compromettent les passerelles cellulaires pour se lancer dans des stations d'ingénierie dans des secteurs comme l'énergie, le pétrole et le gaz, démontrant la gravité de la menace pesant sur les infrastructures essentielles : Rapport de Drago.
Que peuvent et doivent faire les organisations concernées ou à risque? Tout d'abord, Mise à jour immédiate vers les versions de remède identifiées par Dell: pour de nombreuses branches qui signifie se déplacer à 6.0.3.1 HF1 ou appliquer les étapes de migration de 5.3 SP4 P1 avant d'installer le hotfix. Dell souligne également que RecoverPoint for Virtual Machines doit être déployé dans des réseaux internes et fiables, protégés par une segmentation et des pare-feu appropriés, et non directement exposés à Internet. Le guide officiel Dell contient des instructions précises sur les versions et les étapes d'atténuation : Avis de consultation de Dell.
Il ne suffit pas de se garer : les systèmes devraient être vérifiés pour les indicateurs d'engagement. Examinez l'existence de shells web dans Tomcat, recherchez des listes de processus et de fichiers qui correspondent à BRICKSTORM ou GRIMBOLT, vérifiez les règles inhabituelles dans les iptables qui redirigent les ports TLS vers 10443, et recherchez des interfaces réseau éphémères sont des tâches prioritaires. Il est également recommandé de renforcer la surveillance de l'intégrité, d'élargir le segment des réseaux hébergeant les applications et d'examiner les accès administratifs exposés. Pour comprendre ce que les règles iptables qui ont été observées dans les incidents réels font, le lien technique cité ci-dessus peut être utile: iptable guide.
Les équipes d'intervention et les agents de sécurité devraient se concerter avec les fournisseurs pour valider l'assainissement, recueillir des registres médico-légaux avant d'appliquer des changements perturbateurs et, s'il y a des soupçons d'engagement, présumer qu'il y a persistance au niveau des racines jusqu'à preuve du contraire. Étant donné que l'opération tire parti d'identités gaufrées dans le logiciel, la simple rotation des mots de passe externes ne suffit pas : il est essentiel d'appliquer les correctifs et de suivre les recommandations du fabricant.
Enfin, cet épisode est un rappel que les attaquants de haut niveau cherchent des systèmes avec peu de télémétrie et peu de protection traditionnelle. L'industrie devrait continuer d'améliorer la visibilité des applications de l'infrastructure, d'exiger des pratiques exemplaires en matière de développement sécuritaires pour éviter les références codées en dur et d'adapter les contrôles du réseau qui réduisent l'exposition aux éléments critiques. Pour plus de contexte et de détails techniques sur la recherche et l'attribution, le rapport Google Mandiant est un must read: Rapport Mandiant / GTIG et pour la notification du fournisseur, voir le bulletin Dell: Avis de Dell.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...